Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di Cloud Monitoring per le notifiche di importazione

Supportato in:

Google SecOps SIEM

Questo documento descrive come utilizzare Cloud Monitoring per ricevere notifiche di importazione. Google SecOps utilizza Cloud Monitoring per inviare le notifiche di importazione. Con questa funzionalità puoi risolvere i problemi in modo proattivo. Puoi integrare le notifiche via email nei flussi di lavoro esistenti. Le notifiche vengono attivate quando i valori di importazione raggiungono determinati livelli predefiniti. Nella documentazione di Cloud Monitoring, le notifiche sono indicate come avvisi.

Prima di iniziare

Assicurati di avere familiarità con Cloud Monitoring.
Configura un progetto Google Cloud per Google SecOps.
Assicurati che il tuo ruolo Identity and Access Management includa le autorizzazioni del ruolo roles/monitoring.alertPolicyEditor. Per ulteriori informazioni sui ruoli, consulta Controllo dell'accesso.
Assicurati di conoscere la creazione di criteri di avviso in Cloud Monitoring. Per informazioni su questi passaggi, consulta Creare avvisi.
Configura il canale di notifica come email per ricevere notifiche di importazione. Per informazioni su questi passaggi, consulta Gestire i canali di notifica.

Configurare la notifica di importazione per le metriche di integrità

Per configurare le notifiche che monitorano le metriche relative all'integrità dell'importazione specifiche per Google SecOps:

Nella console Google Cloud, seleziona Monitoraggio.
Nel riquadro di navigazione, seleziona Avvisi e poi fai clic su Crea criterio.
Nella pagina Seleziona una metrica, fai clic su Seleziona una metrica.
Nel menu Seleziona una metrica, fai clic su una delle seguenti opzioni:
- Pulsante di attivazione/disattivazione Attivo per filtrare e visualizzare solo le risorse e le metriche con dati delle ultime 25 ore. Se non la selezioni, vengono elencati tutti i tipi di risorse e metriche.
- Attiva/disattiva A livello di organizzazione/cartella per monitorare risorse e metriche, ad esempio l'utilizzo della quota consumer o l'allocazione di slot BigQuery, per l'organizzazione e le cartelle.
Seleziona una delle seguenti metriche:
- Seleziona Chronicle Collector > Importazione e poi Conteggio totale dei log importati o Dimensione totale dei log importati.
- Seleziona Raccogli dati di Chronicle > Normalizzatore e poi Conteggio totale dei record o Conteggio totale degli eventi.
- Seleziona Tipo di log Chronicle > Outofband e poi Conteggio totale dei log importati (feed) o Dimensioni totali dei log importati (feed).
Fai clic su Applica.
Per aggiungere un filtro, nella pagina Seleziona una metrica fai clic su Aggiungi filtro. Nella finestra di dialogo del filtro, seleziona l'etichetta collector_id, un comparatore e il valore del filtro.
- Seleziona uno o più dei seguenti filtri:
  - project_id: l'identificatore del progetto Google Cloud associato a questa risorsa.
  - location: la posizione fisica del cluster che contiene l'oggetto collector. Ti consigliamo di non utilizzare questo campo. Se lasci vuoto questo campo, Google Security Operations può utilizzare le informazioni di cui dispone già per determinare automaticamente dove memorizzare i dati.
  - collector_id: l'ID del collezionista.
  - log_type: il nome del tipo di log.
  - Etichetta metrica > namespace: il namespace del log.
  - Feed_name: il nome del feed.
  - LogType: il tipo di log.
  - Etichetta metrica > event_type: il tipo di evento determina i campi inclusi nell'evento. Il tipo di evento include valori come PROCESS_OPEN, FILE_CREATION, USER_CREATION e NETWORK_DNS.
  - Etichetta metrica > state: lo stato finale dell'evento o del log. Lo stato è uno dei seguenti:
    - parsed. Il log è stato analizzato correttamente.
    - validated. Il log è stato convalidato correttamente.
    - failed_parsing. Il log contiene errori di analisi.
    - failed_validation. Il log contiene errori di convalida.
    - failed_indexing. Il log contiene errori di indicizzazione batch.
  - Etichetta metrica > drop_reason_code: questo campo viene compilato se l'origine di importazione è il forwarder Google SecOps e indica il motivo per cui un log è stato eliminato durante la normalizzazione.
  - Etichetta metrica > ingestion_source: l'origine di importazione presente nell'etichetta di importazione quando i log vengono importati utilizzando l'API di importazione.
- Seleziona un ID raccoglitore speciale. L'ID del raccoglitore può essere anche un ID inoltra o un ID speciale in base al metodo di importazione.
  - aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa: rappresenta tutti i feed creati utilizzando l'API o la pagina di gestione dei feed. Per ulteriori informazioni sulla gestione dei feed, consulta Gestione dei feed e API Feed Management.
  - bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb: rappresenta tutte le origini di importazione che utilizzano il metodo unstructuredlogentries dell'API di importazione. Per saperne di più sull'API di importazione, consulta l'API di importazione di Google SecOps.
  - cccccccc-cccc-cccc-cccc-cccccccccccc: rappresenta tutte le origini di importazione che utilizzano il metodo udmevents dell'API di importazione.
  - dddddddd-dddd-dddd-dddd-dddddddddddd: rappresenta l'importazione dei log di Google Cloud.
  - eeeeeeee-eeee-eeee-eeee-eeeeeeeeeeee: rappresenta l'ID del raccoglitore utilizzato per CreateEntities.
  - aaaa1111-aaaa-1111-aaaa-1111aaaa1111: rappresenta l'agente di riscossione.
Nella sezione Trasforma i dati, segui questi passaggi:
1. Imposta il campo Aggregazione serie temporali su somma.
2. Imposta il campo Raggruppa serie temporali per su project_id.
(Facoltativo) Configura un criterio di avviso con più condizioni. Per creare notifiche di importazione con più condizioni all'interno di un criterio di avviso, consulta Criteri con più condizioni.

Metriche del forwarder di Google SecOps e filtri associati

La tabella seguente descrive le metriche del forwarder Google SecOps disponibili e i filtri associati.

Metrica del forwarder di Google SecOps	Filtro
Memoria del container utilizzata	`log_type`, `collector_id`
Disco del contenitore utilizzato	`log_type`, `collector_id`
Container cpu_used	`log_type`, `collector_id`
Registra drop_count	`log_type`, `collector_id`, `input_type`, `reason`
buffer_used	`log_type`, `collector_id`, `buffer_type`, `input_type`
last_heartbeat	`log_type`, `collector_id`, `input_type`

Configura un criterio di esempio per rilevare i forwarder di Google SecOps silenziosi

Il seguente criterio di esempio rileva tutti i forwarder Google SecOps e invia avvisi se i forwarder Google SecOps non inviano log per 60 minuti. Questa opzione potrebbe non essere utile per tutti i forwarder Google SecOps che vuoi monitorare. Ad esempio, puoi monitorare una singola origine log in uno o più forwarder Google SecOps con una soglia diversa o escludere i forwarder Google SecOps in base alla frequenza di generazione dei report.

Nella console Google Cloud, seleziona Monitoraggio.
Vai a Cloud Monitoring
Fai clic su Crea criterio.
Nella pagina Seleziona una metrica, seleziona Raccoglitore di Chronicle > Importazione > Conteggio totale dei log importati.
Fai clic su Applica.
Nella sezione Trasforma i dati, segui questi passaggi:
1. Imposta la Finestra temporale continua su 1 ora.
2. Imposta la funzione finestra temporale continua su media.
3. Imposta Aggregazione serie temporali su media.
4. Imposta Raggruppa serie temporali per su collector_id. Se non è impostato il raggruppamento per collector_id, viene attivato un avviso per ogni origine log.
Fai clic su Avanti.
Seleziona Assenza metrica e svolgi i seguenti passaggi:
1. Imposta Attivatore di avvisi su Qualsiasi violazione della serie temporale.
2. Imposta Tempo di assenza trigger su 1 ora.
3. Inserisci un nome per la condizione e fai clic su Avanti.
Nella sezione Notifiche e nome:
1. Seleziona un canale di notifica nella casella Usa canale di notifica. Ti consigliamo di configurare più canali di notifica per motivi di ridondanza.
2. Configura le notifiche relative alla chiusura degli incidenti.
3. Imposta le etichette utente dei criteri su un livello appropriato. Viene utilizzato per impostare il livello di gravità dell'avviso per un criterio.
4. Inserisci la documentazione che vuoi che venga inviata nell'ambito dell'avviso.
5. Inserisci un nome per il criterio di avviso.

Aggiungere esclusioni a un criterio generico

Potrebbe essere necessario escludere determinati inoltratori di Google SecOps da un criterio generico perché potrebbero avere volumi di traffico ridotti o richiedere un criterio di avviso più personalizzato.

Nella console Google Cloud, seleziona Monitoraggio.
Nella pagina di navigazione, seleziona Avvisi e poi, nella sezione Criteri, seleziona il criterio da modificare.
Nella pagina Dettagli criterio, fai clic su Modifica.
Nella pagina Modifica criterio di avviso, nella sezione Aggiungi filtri, seleziona Aggiungi un filtro e svolgi i seguenti passaggi:
1. Seleziona l'etichetta collector_id e il raccoglitore da escludere dal criterio.
2. Imposta il comparatore su != e il valore su collector_id da escludere, quindi fai clic su Fine.
3. Ripeti l'operazione per ogni raccoglitore da escludere. Puoi anche utilizzare un'espressione regolare per escludere più collezionisti con un solo filtro se vuoi utilizzare il seguente formato:
(?:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa|bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb|cccccccc-cccc-cccc-cccc-cccccccccccc)
Fai clic su Save Policy (Salva criterio).

Configura un criterio di esempio per rilevare gli agenti di raccolta di Google SecOps silenziosi

Il seguente criterio di esempio rileva tutti gli agenti di raccolta di Google SecOps e invia avvisi se gli agenti di raccolta di Google SecOps non inviano log per 60 minuti. Questo esempio potrebbe non essere utile per tutti gli agenti di raccolta di Google SecOps che vuoi monitorare. Ad esempio, puoi monitorare una singola origine log in uno o più agenti di raccolta Google SecOps con una soglia diversa o escludere gli agenti di raccolta Google SecOps in base alla frequenza di generazione dei report.

Nella console Google Cloud, seleziona Monitoraggio.
Vai a Cloud Monitoring
Fai clic su Crea criterio.
Nella pagina Seleziona una metrica, seleziona Raccoglitore di Chronicle > Agente > Conteggio degli span accettati dall'esportatore.
Fai clic su Applica.
Nella sezione Trasforma i dati, segui questi passaggi:
1. Imposta la Finestra temporale continua su 1 ora.
2. Imposta la funzione finestra temporale continua su media.
3. Imposta Aggregazione serie temporali su media.
4. Imposta Raggruppa serie temporali per su collector_id. Se non è impostato il raggruppamento per collector_id, viene attivato un avviso per ogni origine log.
Fai clic su Avanti.
Seleziona Assenza metrica e svolgi i seguenti passaggi:
1. Imposta Attivatore di avvisi su Qualsiasi violazione della serie temporale.
2. Imposta Tempo di assenza trigger su 1 ora.
3. Inserisci un nome per la condizione e fai clic su Avanti.
Nella sezione Notifiche e nome:
1. Seleziona un canale di notifica nella casella Usa canale di notifica. Ti consigliamo di configurare più canali di notifica per motivi di ridondanza.
2. Configura le notifiche relative alla chiusura degli incidenti.
3. Imposta le etichette utente dei criteri su un livello appropriato. Viene utilizzato per impostare il livello di gravità dell'avviso per un criterio.
4. Inserisci la documentazione che vuoi che venga inviata nell'ambito dell'avviso.
5. Inserisci un nome per il criterio di avviso.